Nieuws

Honderdste Microsoft patch dicht 4 Windows-lekken

vrijdag 30 december 2011, 09:20 door Redactie, 10 reacties

Zoals gisteren aangekondigd heeft Microsoft een noodpatch uitgebracht voor het ASP.NET probleem, de update verhelpt echter in totaal vier kwetsbaarheden in alle ondersteunde versies van Windows. Het gaat om het ASP.NET lek waardoor webservers eenvoudig zijn plat te leggen, dat tijdens het Chaos Communication Congres werd onthuld, en drie direct aan Microsoft gerapporteerde lekken.

Er was gisteren verwarring ontstaan omdat Microsoft aangaf dat de update een ernstig Windows-lek zou verhelpen waardoor aanvallers hun rechten op het systeem konden verhogen. Daarbij verwees het naar de advisory van het ASP.NET probleem, dat alleen een Denial of Service was. De softwaregigant baseert de beoordeling van een patch altijd op de ernstigste kwetsbaarheid als er meerdere worden verholpen. Jonathan Ness van het Microsoft Security Response Center laat weten dat het de drie privaat gerapporteerde lekken al had gepatcht, toen het vierde DoS-lek werd aangekondigd. Uiteindelijk werd besloten om de vier lekken met dezelfde noodpatch op te lossen.

Accountnaam
In dit geval is dat CVE-2011-3416, ook bekend als het "ASP.Net Forms Authentication Bypass Vulnerability". Het probleem wordt veroorzaakt door de manier waarop het ASP.NET Framework speciaal geprepareerde gebruikersnamen authenticeert. Een aanvaller kan in dit geval de rechten van de aangevallen gebruiker overnemen, waaronder het uitvoeren van willekeurige opdrachten op de site.

Om de kwetsbaarheid te misbruiken moet de aanvaller een account op de ASP.NET applicatie registreren en de accountnaam van een aan te vallen gebruiker weten. De aanvaller kan dan een speciale webrequest maken aan de hand van de eerder geregistreerde gebruikersnaam om toegang tot het account van zijn slachtoffer te krijgen.

Overige lekken
Verder worden de hash collission DoS-aanval, een spoofing-lek in .NET Form Authentication en een Forms Authentication Ticket Caching-lek verholpen. Bij de laatste kwetsbaarheid is het ook mogelijk om de rechten te verhogen. Dit lek werd net als de Denial of Service-kwetsbaarheid als "important" bestempeld, omdat er interactie met het slachtoffer nodig is. Die zou bijvoorbeeld op een link in een e-mail of Instant Messenger bericht moeten klikken, waardoor een aanvaller uiteindelijk zijn rechten op de website kan verhogen.

Updaten kan via Windows Update en de Automatische Update functie. Microsoft stelt dat consumenten niet kwetsbaar zijn, tenzij ze een webserver op hun computer draaien. In totaal publiceerde Microsoft dit jaar 100 beveiligingsupdates en dichtte het 240 lekken.

Korpschef wil meer internetrechercheurs

Stratfor geeft hack-slachtoffers identiteitsbescherming

Reacties (10)

30-12-2011, 09:40 door spatieman

100e?
FELI !!!

30-12-2011, 09:56 door Anoniem

Maar twee updates gezien en die waren voor NET.Framework 4.
En die liepen echt traaaaaag binnen.

30-12-2011, 11:26 door Anoniem

En nu moet je die systeembeheerders over de lijn te krijgen om deze en andere 99 vorige updates op tijd te installeren. Hier zijn nog systeembeheerders, die deze updates over het hoofd zien.

Advies, installeer aub deze updates zo snel mogelijk, als je je netwerk of de netwerk van je klant wilt goed veilig stellen.

30-12-2011, 12:11 door Anoniem

4 updates

.Net 1.1 SP 1
.Net 2.0 SP2
.Net 3.5 SP1
.Net 4

30-12-2011, 12:25 door Anoniem

als je twee updates krijgt, dat betekent dat je in je server of WS hebt de .Net 4 of een andere nog niet geinstalleerd.

Op mijn heb ik nog geen .Net4 geinstalleerd en daar zag ik 3 updates waren beschikbaar.

30-12-2011, 12:31 door Anoniem

Een overzicht van de updates KB van vandaag:

Windows XP Beveiligingsupdate voor Microsoft .NET Framework 2.0 SP2 op Windows Server 2003 en Windows XP x86 (KB2656352) vrijdag 30 december 2011 Microsoft Update

Windows XP KB2656353: Beveiligingsupdate voor Microsoft .NET Framework 1.1 SP1 op Windows XP, Windows Vista en Windows Server 2008 x86 vrijdag 30 december 2011 Microsoft Update

Windows XP KB2657424: Beveiligingsupdate voor Microsoft .NET Framework 3.5 SP1 op Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008 x86 vrijdag 30 december 2011 Microsoft Update

Windows XP KB2656351: Beveiligingsupdate voor Microsoft .NET Framework 4 op Windows XP, Windows Server 2003, Windows Vista, Windows 7 en Windows Server 2008 x86 vrijdag 30 december 2011 Microsoft Update

30-12-2011, 13:00 door Anoniem

Nou laten we eerlijk zijn mensen..Ik heb net weer een laptop van windows 7 voorzien..en vanaf ik dat ding aan heb zit ie maar te updaten..gigabytes aan updates..wat een systeem he..maar als u weet dat al die patches NIKS uitmaken , en dat je Pc nog gewoon overgenomen wordt door vreemden, dan zeg ik UPDATES is BULL en WINDOWS is DIKKE SYPWARE -beste PC is 1 zonder internet !! -

Mijn belangrijkste Studio pc is niet meer verbonden met het internet sinds 2005-en draait gewoon super geweldig en probeer die maar te hacken..gaat je niet lukken..daarnaast de pc's die wel het net opgaan, zijn zich ervan bewust dat Alles wat je doet..ooit weer tegen je gebruikt zal worden..en mensen dat is geen OKUS POKUS.
Veel plezier met uw lekke internet verbinding en een provider die danst aan de pijpen van Oplichtersbende BREIN en BUMA STEMRA -veel geluk met uw ondergang !

30-12-2011, 15:23 door Rubbertje

Door Anoniem: Maar twee updates gezien en die waren voor NET.Framework 4.
En die liepen echt traaaaaag binnen.

Ik had er ook 2 en inderdaad ging dat met een slakkentempo... Pff.

30-12-2011, 16:13 door Anoniem

Door Anoniem: Nou laten we eerlijk zijn mensen..Ik heb net weer een laptop van windows 7 voorzien..en vanaf ik dat ding aan heb zit ie maar te updaten..gigabytes aan updates..wat een systeem he..maar als u weet dat al die patches NIKS uitmaken , en dat je Pc nog gewoon overgenomen wordt door vreemden, dan zeg ik UPDATES is BULL en WINDOWS is DIKKE SYPWARE -beste PC is 1 zonder internet !! -

Mijn belangrijkste Studio pc is niet meer verbonden met het internet sinds 2005-en draait gewoon super geweldig en probeer die maar te hacken..gaat je niet lukken..daarnaast de pc's die wel het net opgaan, zijn zich ervan bewust dat Alles wat je doet..ooit weer tegen je gebruikt zal worden..en mensen dat is geen OKUS POKUS.
Veel plezier met uw lekke internet verbinding en een provider die danst aan de pijpen van Oplichtersbende BREIN en BUMA STEMRA -veel geluk met uw ondergang !

Conclusie?
Veel plezier met het leven in een bunker zonder internet! :)

30-12-2011, 22:14 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer